Deux vulnérabilités dans Wordpress 2.3.3 et 2.5.1
BlogSecurity rapporte une vulnérabilité dans la version 2.3.3 de Wordpress. Vulnérabilité découverte par Sandor Attila Gerendi, elle permet l’exécution de code (PHP) arbitraire. Elle serait mitigée par la nécessité du serveur de tourner sous Windows.
Cette vulnérabilité n’est pas présente dans la version 2.5.1 de Wordpress.
Une autre vulnérabilité a été découverte, cette fois pour la version 2.5.1. de Wordpress, mais pour l’instant la véracité de celle-ci reste encore à prouver.
Ce serait une bonne vieille injection SQL et elle toucherait le Wordpress Plugin Upload File.
Link It! Wordpress bookmarklet pour Opera
Si vous voulez ajouter un lien dans wordpress (blogroll ou autre), vous pouvez utiliser ce bookmarklet (conçu pour Opera) pour automatiser cette tâche. Il suffit de créer un lien et d’ajouter le code javascript suivant à la place de l’URL.
Pour un article, c’est le classique (toujours pour Opera).
Un script pour trier les colonnes d’un tableau
Si vous avez déjà créé un tableau HTML, vous vous êtes sûrement déjà demandé comment pouvoir trier les colonnes comme dans un tableur (Excel). Eh bien, Sorttable est un script qui fait juste ça.
- Téléchargez le fichier sorttable.js.
- Insérez dans votre code HTML
<script src="sorttable.js"></script> avant votre tableau ou dans le<head><script src="sorttable.js"></script></head> . - Et commencez votre tableau par le code
<br /> <table class="sortable">
Mise à jour de sécurité Wordpress 2.5.1
Mise à jour de sécurité 2.5.1 avec plein de bugfixes et d’améliorations :
Performance improvements for the Dashboard, Write Post, and Edit Comments pages.
Better performance for those who have many categories
Media Uploader fixes
An upgrade to TinyMCE 3.0.7
Widget Administration fixes
Various usability improvements
Layout fixes for IE
On peut maintenant uploader des images avec Opera et Internet Explorer.
Faille de sécurité dans Wordpress 2.5, une rumeur ?
Depuis quelques jours, une rumeur traîne sur une faille de sécurité dans la dernière version de Wordpress 2.5. Rumeur entretenue par Security Focus :
WordPress is prone to multiple SQL-injection vulnerabilities because it fails to sufficiently sanitize user-supplied data before using it in an SQL query.
Exploiting these issues could allow an attacker to compromise the application, access or modify data, or exploit latent vulnerabilities in the underlying database.
WordPress 2.5 is vulnerable; other versions may also be affected.
Matt a répondu sur son blog :
Since people are asking, this so-called alert on Security Focus appears to be completely false and has no information that an attacker or the WordPress developers could use. It is completely content-free, except for making claims that every version of WP since 2.0 is vulnerable.
Online, apparently, it’s fine for someone to run into a crowded theatre and yell “fire” and the less basis there is in fact the more people link to them. It’s not uncommon to see crying-wolf reports like the above several times in a week, and a big part of what the WP security team is sifting through things to see what’s valid or not.